Cobalt Strike wird als Malware unter Cyberkriminellen immer beliebter

Bei den Ermittlungen rund um die SolarWinds-Attacken, die im Dezember 2020 ans Tageslicht kamen, stellten die Cyberforensiker fest, dass in diesem Rahmen auch Cobalt Strike Beacon als Schadsoftware zum Einsatz kam. Doch die illegale Nutzung dieses Tools reicht schon viel weiter in die Vergangenheit zurück: Ursprünglich wurde Cobalt Strike 2012 als Reaktion auf Lücken in einem bestehenden Red-Team-Tool entwickelt, dem Metasploit Framework. Daraufhin wurde Cobalt Strike 3.0 als eigenständige Plattform zur Emulation von Angreifern im Jahr 2015 eingeführt. Und schon im darauffolgenden Jahr konnten die Security-Experten von Proofpoint erste cyberkriminelle Gruppen beobachten, die das Tool für ihre Zwecke einsetzten.

Aktuell verwenden verschiedene Gruppen von Bedrohungsakteuren Cobalt Strike, um sich Zugang zu ihren Zielorganisationen zu verschaffen. Proofpoint geht in diesem Zusammenhang auf Basis seiner ihm vorliegenden Daten mit hoher Wahrscheinlichkeit davon aus, dass Cobalt Strike von den Cyberkriminellen als sogenannte Initial Access Payload verwendet wird. Anders als bei einer Payload der zweiten Stufe soll damit also zunächst ein erster Zugang zur Zielorganisation geschaffen werden.

Zu den illegalen Nutzern von Cobalt Strike zählen unter anderem:

• TA800
  • Dabei handelt es sich um eine große Crimeware-Gruppe, die von Proofpoint seit Mitte 2019 beobachtet wird. Dieser Akteur versucht, Banking-Malware oder Malware-Loader, darunter The Trick und BazaLoader, zu verbreiten und zu installieren.
• TA547
  • TA547 ist ebenfalls ein Crimeware-Akteur, der seit Oktober 2017 im Fokus der Security-Experten von Proofpoint steht. Die Gruppe verbreitet hauptsächlich Banking-Trojaner – einschließlich The Trick und ZLoader – in verschiedenen Ländern. Seit Mitte 2020 nutzt TA547 dazu bevorzugt gefährliche Microsoft Office-Anhänge. Im Februar 2021 begann die Gruppe mit der Verbreitung von Cobalt Strike als Payload der zweiten Stufe für Command and Control.
• TA415
  • Bei TA415 handelt es sich um einen ein APT-Akteur (Advanced Persistent Threat), von dem angenommen wird, dass er mit staatlichen Institutionen der Volksrepublik China in Verbindung steht. Laut US-Gerichtsakten existiert eine Verbindung der Gruppe zum chinesischen Ministerium für Staatssicherheit.

Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint zur verstärkten Nutzung von Cobalt Strike durch Cyberkriminelle:

„Offensive Sicherheits-Tools sind nicht per se von bösartiger Natur, aber es lohnt sich genauer zu untersuchen, wie sich die illegale Nutzung der Frameworks durch APT-Akteure und Cyberkriminelle entwickelt hat. Die Verwendung öffentlich verfügbarer Tools fügt sich in einen breiteren Trend, den Proofpoint festgestellt hat: Bedrohungsakteure nutzen so viele legitime Tools wie möglich, inklusive der Verwendung von Windows-Prozessen wie PowerShell und WMI, der Injektion von bösartigem Code in legitime Binärdateien und der regelmäßigen Verwendung legitimer Dienste wie Dropbox, Google Drive, SendGrid und Constant Contact, um Malware zu hosten und zu verbreiten.

Die illegale Nutzung legitimer Tools ist Teil einer Debatte, die in der IT-Security-Branche seit Jahren geführt wird. Bedrohungsakteure des gesamten Crimeware- und APT-Spektrums sind dadurch umfassend mit legitimen Sicherheitstools bewaffnet und die Security-Teams müssen in der Folge gegen die am besten ausgestatteten Cyberkriminellen antreten.

Unsere Daten zeigen, dass Cobalt Strike derzeit häufiger von cyberkriminellen Gruppen und Akteuren aus dem Bereich Commodity Malware eingesetzt wird als von APT- und Spionage-Gruppen. Das bedeutet, dass Cobalt Strike in der Welt der Crimeware zum Mainstream geworden ist. Finanziell motivierte Bedrohungsakteure sind nun ähnlich umfassend ausgestattet wie diejenigen, die von verschiedenen Regierungen finanziert und unterstützt werden.“